Zumindest so ist in etwa die Aussage, die ein Forscher-Team hinsichtlich der Sicherheit des Cloud-Speicher Dienstes Dropbox geäußert haben. Das Forscher Team will den Dropbox Dienst sicher machen und hatte die Hoffnung von Dropbox den Quellcode zu ergattern.
Dropbox nutzt als Verfahren für die Sicherheit des Dienstes die Möglichkeit der Verschleierung, was in der Regel von Forscherteams als unsicher angesehen werde, weil es immer wieder findige Hacker/Cracker gibt, die trotz Verschleierung in der Lage sind eine Sicherheitslücke im System aufzuspuren
Die beiden Sicherheitsforscher haben nun bewiesen, dass es nicht unbedingt eine gute Variante der Verschlüsselung ist, auf die aktuell mehr als 200 Millionen Personen ihre Daten täglich sichern. In einem Vortrag haben die beiden Forscher Dhiru Kholia und Przemyslaw Wegrzyn nachgewiesen, dass sie die Client-Software von Dropbox nicht nur hacken können, sondern auch mit den Daten des Nutzers arbeiten können. Nach eigenen Angaben konnten die Methoden zur Verschleierung des Quellcodes, die in der Dropbox Software zum Einsatz kommen, umgangen werden und im Anschluss konnte der Quellcode analysiert werden.
Sicherheit durch Offenheit für Dritte
Die beiden Sicherheitsforscher wollen nicht demonstrieren, dass sich die Software sehr leicht knacken lässt, sondern Software-Anbieter sollen sich für Dritte öffnen, damit diese Sicherheitslücken aufspüren können und bei Bedarf diese zeitnah geschlossen werden.
Als Ursache für die Möglichkeit den Dropbox-Client zu übernehmen, ist laut Aussage der Forsche eine mangelnde Idenfizierung des Nutzters. In erster Linie sei das eingesetzte Authenfizierungs-Verfahren relativ sicher, allerdings wird für die interne Schnittstelle keine Authenthifizierung verwendet, wodurch das Hack erst ermöglicht wurde.
Dropbox arbeite an der Sicherheitslücke
Angeblich soll Dropbox bereits an der Ausbesserung der Sicherheitslücke arbeiten, diese wollen die beiden Forscher aber relativ zeitnah erneut umgehen – denn das Ziel war nicht, dass Dropbox weiterhin auf die Verschleierung baut, sondern sich darüber Gedanken macht, in Zukunft die Verschlüsselung der Software verbessern.